ウイルスが次にねらうのはインスタントメッセージング

  • このエントリーをはてなブックマークに追加

 インスタントメッセージング(IM)はコンピュータワームやウイルスの次の主要感染ルートとなるだろうか? これはそう遠い先の話ではない。

 昨年深刻な被害をもたらしたワームやウイルスには、電子メールとネットワークスキャニング、ファイル共有という一般的な3つのメディアで感染する特徴が共通していた。適切なパッチ配布方針や強固なセキュリティ体制によって大規模な感染は最小限に留められたが、やはり攻撃のいくつかは守りの隙間に入り込み、ネットワークを崩壊させた。

 最近では、IMはほぼユビキタスな存在となった。現行のWindowsにはデフォルトで最低1つのIMクライアントがインストールされているし、PDAや携帯電話用のIMソフトウェアも実装されている。

 IMベースの攻撃の危険性は特に高い。これは、マシンやネットワークの情報が変更されず、攻撃されたことが分からないためだ。実際、マシンを完全に感染させるのに必要な接続数が、IM攻撃では従来の攻撃方法と比べて非常に少ない。

 現在のワームは、感染の拡大にある程度の時間を要する。これは、ワームがスキャニングや電子メール配信、ファイル共有などを通じて、感染を広めるためのホストコンピュータを探す必要があるためだ。この過程で無駄なトラフィックを大量に生じさせる。感染スピードが最速とされるワームの1つであるMSBlastの例では、大量のトラフィックを生じさせ、インターネットサービスプロバイダ(ISP)の機能を停止したり、911(緊急電話番号)などの緊急サービスに影響を与えたりした。

 これとは対照的に、IMベースの攻撃では無駄なトラフィックをほぼ完全に排除できる。マシンに感染したコードは、ユーザーの友だちリストに直接アクセスし、誰が現在オンラインなのかを把握する。そのあとは、オンラインのユーザーにごくわずかなリクエストを送るだけだ。未感染のユーザーがサインインしたら、コードはこの新ホストに1回ずつ感染プログラムを送信する。新たに感染したコンピュータは、それぞれまた数回のリクエストを送るだけでよい。リクエストを送り終えると、ワームは攻撃対象リストからそのユーザーを削除する。さらに、すでに感染したホストに再度感染を試みるのを避けるために、IMワームは感染したホストとユーザーの組をリストにして配布し、攻撃の効率を高めている。

 こうした攻撃方法では、ワームの感染拡大に伴う無駄なトラフィックでインターネットが妨害されることがないので、警戒の対象とはならないだろう。また、感染したコンピュータも、パフォーマンスが落ちたり動作がおかしくなったりすることはない。

ソーシャルエンジニアリングとIMワームが結びつく可能性も

 IM攻撃には、ソーシャルエンジニアリングの観点からも興味深い可能性がいくつか考えられる。

 仮に、IMクライアントがワームに感染するのに、感染先のユーザーが何か行動をしなければならないとしよう。大半のIMサービスでは、クライアントが他のユーザーのプロファイルにアクセスできるようになっている。このプロファイルには、同僚や友人といった分類から、性別や年齢、職種などその人本人に関わる情報まで、あらゆるものが含まれている。したがって、ワームが同僚にメッセージを送って文書ファイルを見るよう頼んだり、友人に先週のパーティーの写真を送ったりするかもしれないわけだ。ログ機能を備えていれば、攻撃コードは頻繁に使われる会話文をスキャンし、それを反復して感染の成功率を高めることもできる。

 もっと恐ろしいのは、ユーザーが何もしなくてもシステムが感染する可能性があることだ。こうなってしまえば、もう被害の可能性は無限大だ。

 さらに悪いことには、組織の多くではネットワーク上のIMベースのトラフィックを遮断している。よって、IMに接続できないのを不満に思うユーザーが、HTTPなどの一般的アプリケーションを通じてIMを使うなどの隠蔽策を講じるおそれがある。

 IMを一般的なアプリケーションに通してしまえば、通常のネットワーク監視ツールはIMのトラフィックを普通のトラフィックと分類する。不正接続とみなされて遮断されることはない。また、暗号化機能もIMワームの検知には障害となる。データの消失や盗難を恐れてIM通信を暗号化するケースが増えていることから、ネットワークベースの署名モデルではIMワームを検知することができなくなっている。

 IM攻撃の当初の影響はそれほど大きくなかったかもしれない。しかし、時間とともにIM攻撃の数はますます増加するはずだ。攻撃ツールとしてのIMのメリットと、IMクライアントを採用する周辺機器の増加を考えると、IMが次世代の攻撃手段として台頭する可能性は高い。

 企業が社内IMシステムをインストールすることはいつでも可能だ。しかし、これは必ずしも個人が他のIMクライアントを利用することを制限するものではない。ネットワーク管理者やセキュリティ管理者にとっては、IMの利用に関して厳しいポリシーを徹底し、従業員がそれに必ず従うようにさせることが最も安全な対策だろう。そうして初めて、新たな脆弱性が発覚したりウイルスが流行したりした場合に、どのパッチを当てればよいのか分かるようになる。

筆者略歴
William「Sandy」 Bird
Q1 Labsの共同設立者。現在は同社で最高技術責任者(CTO)を務めている。

  • このエントリーをはてなブックマークに追加